Nowy wirus na Linuxa służy do przeprowadzania ataków DDoS

Analitycy bezpieczeństwa firmy Doctor Web alarmują - wirus Linux.BackDoor.Fgt.1 został napisany w celu przeprowadzania ataków DDoS.

Po uruchomieniu na zainfekowanym urządzeniu wirus wysyła żądanie na jeden z serwerów Google w celu określenia, czy jest ono podłączone jest do internetu. W przypadku potwierdzenia program określa adresy IP i MAC urządzenia, a następnie próbuje skomunikować się z serwerem kontrolno-zarządzającym (C&C), którego adres jest wpisany na stałe w kod backdoor'a. Wysyła na niego informację o swojej wersji, zaś w odpowiedzi Linux.BackDoor.Fgt.1 oczekuje otrzymania bloku danych zawierających komendę do wykonania na zainfekowanym urządzeniu. Jeśli serwer C&C wyśle instrukcję PING, backdoor odsyła odpowiedź PONG i kontynuuje działanie na zainfekowanym urządzeniu. Jeśli odebrana zostanie komenda DUP, Linux.BackDoor.Fgt.1 wyłącza się.

Nowy wirus na Linuxa służy do przeprowadzania ataków DDoS

Backdoor zawiera też specjalną procedurę skanowania 256 losowych adresów IP w jednej pętli. Cykl skanowania jest inicjowany przez atakujących. Podczas generowania adresów IP Linux.BackDoor.Fgt.1 sprawdza, czy wchodzą one w zakres adresów używanych wewnątrz sieci LAN - takie adresy są ignorowane. W przypadku gdy połączenie nie powiedzie się, wysyła informację o błędzie na serwer C&C. Jeśli połączenie zostanie zestawione, złośliwy program próbuje połączyć się ze zdalnym hostem poprzez Telnet i uzyskać tzw. "ciąg zachęty" do logowania. Po wysłaniu do zdalnego hosta loginu z wygenerowanej przez siebie listy, Linux.BackDoor.Fgt.1 rozpoczyna analizowanie odpowiedzi od zdalnej maszyny. Jeśli któraś z nich zawiera żądanie hasła, backdoor próbuje zalogować się używając haseł znalezionych na swojej liście. Następnie przekazuje na serwer C&C adres IP, login i hasło użyte do zdalnej autoryzacji na hoście, po czym węzeł będący celem ataku otrzymuje instrukcję pobrania specjalnego skryptu, który jest używany do załadowania i uruchomienia Linux.BackDoor.Fgt.1 na zaatakowanym komputerze.

Zobacz również:

  • Najlepsze darmowe programy do pobierania torrentów
  • Wirus Nipah zabija. Czy grozi nam kolejna pandemia?
  • Największy atak DDoS w historii Rosji

Backdoor potrafi infekować nie tylko podłączone do internetu serwery i PC pracujące pod kontrolą systemu Linux, ale i inne urządzenia, takie jak routery.